Guten Morgen,

ich würde gerne eine GPO bauen, die auf allen DHCP Servern in der Domain angewendet wird. Gibt es einen WMI-Filter, mit dem ich ein DHCP-Server identifizieren kann?

Grüße

Julian.

Hallo zusammen,
heute wurde uns unter anderem folgende Frage gestellt:
Der Dienst „Windows Update“ soll durch eine Gruppenrichtlinie deaktiviert sein. Dies ist auch der Fall. Wenn man jedoch den Dienst manuell startet und auf „Automatisch“ stellt, deaktiviert sich dieser nicht nach dem Befehl „gpupdate „ oder gar einem Neustart des Systems. Warum ist dies so?

Unsere Antwort bzw. unser Lösungsvorschlag darauf war:
1. Der Befehl „gpupdate“ aktualisiert die lokalen und die auf Active Directory basierenden Gruppenrichtlinien. Es wird nur überprüft, ob sich etwas in den Einstellungen der Gruppenrichtlinien verändert hat. Ist das der Fall, werden die neuen Gruppenrichtlinien ausgeführt.
In diesem Fall wurden keine Änderungen in den Gruppenrichtlinien getätigt, weswegen auch die Gruppenrichtlinien nicht erneut ausgeführt werden.
Unabhängig davon, ob Änderungen in den Gruppenrichtlinien ausgeübt worden sind, werden alle Gruppenrichtlinien neu angelegt und somit nochmals verrichtet, wenn der Befehl mit dem Parameter „/force“ ausgeführt wird. Mit anderen Worten: Windows ignoriert jegliche gesammelte Information und führt alle Gruppenrichtlinien nochmals aus. Nun könnte man meinen, dass solang man nichts in den Gruppenrichtlinien ändert, diese auch nicht ausgeführt werden. Dies jedoch ist falsch, da es in Windows eine Group Policy„refreshinterval“ gibt, d.h. dass nach einer bestimmten Zeit alle Gruppenrichtlinien aktualisiert werden und nochmals ausgeführt werden. Für mehr Informationen bezüglich dieses Themas findet man hier[1] einen interessanten Blogeintrag.

Warum werden dann die Gruppenrichtlinien nach einem Neustart nach dem Zeitintervall nicht ausgeführt?

Dies liegt daran, dass Windows durch die Funktion "Startzeitoptimierung" auch bei einem Neustart nur die Gruppenrichtlinien anwendet, die sich seit dem letzten Anwenden geändert haben, wenn es nicht von der Gruppenrichtlinie anderweitig spezifiziert wurde (Eine solche Einstellung wäre beispielsweise "Process even if the Group Policy objects have not changend"). Das erneute Anwenden von Gruppenrichtlinien ist standardmäßig nicht vorgesehen, da die Einstellungen, die von Gruppenrichtlinien gesetzt werden, nach Best Practice-Empfehlungen sowieso nicht von normalen Benutzern verändert werden dürfen. Somit ist ein erneutes Anwenden der Richtlinien bei jedem Neustart unnötig. Um das Anwenden von Sicherheitsrichtlinien trotzdem zu erzwingen gibt es die Gruppenrichtlinie „Security policy processing“ (Computer Configuration\Administrative Templates\System\Group Policy).

[1] http://sdmsoftware.com/group-policy-blog/group-policy/understanding-the-group-policy-gpupdate-command/


Wir hoffen, vielen Besuchern der TechNet Foren durch das Posten dieses Problems und einer möglichen Lösung weiterhelfen zu können.

Viele Grüße,
TechNet Hotline für TechNet Online Deutschland

Disclaimer:
Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
Es gelten für die TechNet Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesonderten Nutzungsbedingungen für die TechNet Hotline.

Hallo zusammen,

heute wurde uns unter anderem folgende Frage gestellt:
Wie kann man Versteckte Dateien via GPO ausblenden?

Unsere Antwort bzw. unser Lösungsvorschlag darauf war:
Dies kann über Regestryeinträge erfolgen, welche per GPO verteilt werden.
Die beiden zu erstellenden Einträge sind:

(Show Protected Operating System Files)
User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Value Name: ShowSuperHidden
Data Type: REG_DWORD (DWORD Value)
Value Data: ( 0 = Hide Files, 1 = Show Files)

(Hidden Files, Folders, and Drives)
User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: ( 0 = Hide Files, 1 = Show Files)

Einen Artikel zur Erstellung von Registryeinträgen finden Sie hier [1].

Wir hoffen, vielen Besuchern der TechNet Foren durch das Posten dieses Problems und einer möglichen Lösung weiterhelfen zu können.

Viele Grüße,
Andreas Scheidmeir
TechNet Hotline für TechNet Online Deutschland

[1]: http://technet.microsoft.com/en-us/library/cc753092.aspx - Configure a Registry Item

Disclaimer:
Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
Es gelten für die TechNet Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zuMarkenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesondertenNutzungsbedingungen für die TechNet Hotline.

Hallo zusammen.

Nachdem ich schon ein paar Tage darüber nachdenke und mir nix dazu einfällt...

Szenario: Unternehmensumfeld, überwiegend Desktops, servergespeicherte Profile. Eine Handvoll Laptops, WLAN. Auf den Laptops soll nur dann das servergespeicherte Profil synchronisiert/verwendet werden, wenn lokal nicht bereits vorhanden - "Laden und zurück synchronisieren" dauert im täglichen Betrieb zu lange. Wenn der User bereits eine lokale Profilkopie hat, soll das servergespeicherte Profil schlicht ignoriert werden - wie wenn "nur lokale Profile" aktiviert wäre.

Also:

a) User hat lokal ein Profilverzeichnis -> servergespeichertes Profil nicht synchronisieren (weder bei An- noch bei Abmeldung)

b User hat KEIN lokales Profilverzeichnis -> servergespeichertes Profil synchronisieren, ab dann a) verwenden.

Hat jemand eine Idee, wie das gehen könnte?

mfg Martin

NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

Habe zwei GPO's  erstellt in der ich einen Task in der Aufgabenplanung einstelle über den ein Batch-File in der Netlogon-Freigabe aufgerufen wird. Die Einstellungen werden ausschließlich den Computereinstellungen vorgenommen. Für die unterschiedlichen Betriebssysteme verwende ich noch zusätzlich eine WMI-Filter um die unterschiedlichen Settings der Aufgabenplanung zu konfigurieren (Srv 2k3 und 2k3r2 sowie Srv 2k8 und 2k8r2).

Auf den einzelnen Servern ist zu sehen (gpresult) das die einzelnen Richtlinien auf die beiden Servergruppen angewendet werden, auch auf den "Windows 2008 Servern". Jedoch ist der geplante Task nur bei den Windows Servern 2003, 2003 R2 sowie bei den Windows Servern 2008 R2 zu sehen ? Auf den Systemen die Windows Server 2008 haben, wird der Task in der Aufgabenplanung nicht erzeugt???

Hallo zusammen,

ich weiß dazu gibt es im Internet sehr viele Ratschläge und Infos. Bei mir will es aber nicht klappen.

Deshalb meine kurze Frage.

Ich nutze einen Win2003 Domänen Server und habe einen Win2008 R2 Terminal Server.

Auf dem Win2008 Server soll für einen User das Laufwerk C: ausgeblendet werden. Ich habe im GPO Editor folgende Policy aktiviert:

Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Explorer "Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden" "Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen" - Beides im Wechsel und zusammen auf C: beschränkt eingestellt.

Die Policy wurde explizit nur auf den User und auf den Server angewandt (Veröffentlicht auf den Pfad in dem der Server liegt)

Danach habe ich die Gruppenrichtlinenergebnise durchlaufen lassen und die Policy wurde verwendet.

Soweit klingt alles gut, nur klappt es nicht. Laufwerk C: ist im Explorer zu sehen.

Hat einer eine Idee – Tipp für mich. Vielen Dank.

PS: Gibt es unter Win2008 keinen gpupdate /result mehr?

Hallo,

ich habe auf einer Netzwerkfreigabe einen Ordner Offline verfügbar gemacht.

Ich kann mit Office 2010 in diesem Ordner keine Dateien abspeichern, sonder nur öffnen.

Mit Wordpad tritt dieser Effekt nicht auf. Auch mit dem normalen Editor nicht.

Hat jemand eine Idee?

Danke.

C. Oppl

Guten morgen zusammen!

Ich bin gerade dabei an einem externen Standort (mit eigener Domäne) die Gruppenrichtlinien zu überarbeiten.
Für die User klappt auch soweit alles, nur die Compterkonfiguration macht mir Probleme.

Ich habe eine neue OU angelegt mit dem Namen "PC", eine neue Policy erstellt und zu dieser OU "gelinkt" und in diese die PCs verschoben.

Sollte doch eigentlich jetzt schon klappen - aber genau das tut es nicht. Zumindest nicht komplett...

gpresult auf dem Client liefert mir immer eine Ausgabe in der die Computerkonfiguration nicht aufgeführt wird!
Sie erscheint also noch nicht mal als verworfene oder leere Policy.

Den Client habe ich schon aus der Domäne raus und wieder rein, sogar neu aufgesetzt... alles ohne Erfolg!

Was (teilweise) hilft, ist den Benutzer in eine leere OU ohne Policy zu verschieben. Dann wird aber auch nicht alles übernommen.
Die User müssen in der jetzigen OU bleiben und eine neue zu erstellen ist (aus verschiedenen Gründen) nicht möglich.

Ich bin gerade für (fast) alle Ideen zu haben, also her damit :)

sg

Stefan

PS: Die Clients haben Win7Pro (deutsch) mit allen Patches bis Mai 2013 und der Server Win2k8R2 (englisch) mit eben solcher Domänenstufe.

Hallo zusammen,

folgendes Problem tritt bei mir auf einem Terminalserver auf:

Umgebung:

Druckserver: Windows 2008 Standard x64 (ohne R2!), dieser ist ausschliesslich für nachfolgenden Terminalserver zuständig. In einer VMWare Umgebung an Standort A

Terminalserver: Windows 2008 R2 Standard (logischerweise x64) an Standort A

Domänencontroller: 2x Windows 2003 R2 Standard an Standort A, 1x Windows 2008 R2 Standard an Standort B

Problembeschreibung:

Den Benutzern werden über eine Gruppenrichtline Drucker vom Druckserver zugewiesen. Die Gruppenrichtlinie habe ich zu diesem Zweck an dem 2008er Domänencontroller entsprechend geändert, da diese Funktionalität ja unter 2003 noch nicht gegeben war. Die Domänenfunktionsebene ist noch auf Windows 2003, da sich noch 2003er Domänencontroller in der Domäne befinden.

Auf dem Terminalserver erscheinen nun folgende Warnungen in der Ereignisanzeige, wenn sich ein Benutzer anmeldet:

Das Benutzer "Druckername"-Einstellungselement im Gruppenrichtlinienobjekt "Name der GPO" wurde nicht übernommen, da ein Fehler mit Fehlercode "0x80070bc4 Es wurden keine Drucker gefunden." Dieser Fehler wurde unterdrückt. aufgetreten ist.

Diese Meldung erscheint für jeden zu verbindenden Drucker einmal. Die Drucker sind kurz nach der Anmeldung noch nicht unter "Geräte und Drucker" zu sehen, erscheinen dann aber nach ein paar Sekunden, und sind dann funktionsfähig. Wenn man innerhalb dieser Zeit manuell versucht, den Drucker zu verbinden, erscheint die gleiche Meldung. Danach ist verbinden mit den Druckern kein Problem.

Für mich sieht das Problem aus, als ob der Rechner zu dem ersten Verbindungszeitpunkt seine Dienste noch nicht komplett hochgefahren hat, und sich deswegen noch nicht mit dem Drucker verbinden kann. Ich kann mir aber nicht vorstellen, dass dies normal sein soll.

Hat jemand hier einen Tipp für mich, wo ich mit dem Suchen nach dem Fehler beginnen könnte?

Ich habe bereits mehrere Sachen mit den Einstellungen der Drucker in der Richtlinie probiert (Benutzerkontext ein/aus), ausserdem wurde der verwendete Druckertreiber bereits auf den neuesten Stand gebracht, jedoch bleibt dieses Problem bestehen. DNS-Einträge sind soweit ich sehen kann in Ordnung, die Drucker werden inzwischen nicht mehr über den Servernamen, sondern über die IP verbunden, um die Probleme beim DNS komplett auszuschliessen.

Mit freundlichen Grüßen

Steffen Timmermann

Hallo zusammen,
wir haben eine Win2008 Domäne und hauptsächlich Win7 Clients. Ich habe die Ordnerumleitung für die Ordner Dokumente und Bilder aktiviert und das lief so weit alles gut. Dann haben wir das Storage getauscht und ich musste den Pfad umbiegen.
Da war ich so blauäugig und dachte, es reicht, wenn ich in der Gruppenrichtlinie den Zielpfad abändere. Nun habe ich das Problem, das ich lokal auf den Clients in den Offlinedateien 2 Pfade eingetragen habe...den alten und den neuen. Nun hält der Client die Offlinedateien doppelt vor, was auf einigen Notebooks plötzlich zu Platzproblemen führt. Ich hab keine Chance gefunden, die Synchronisation im Synchro-Center anzupacken und den alten Krempel rauszulöschen.

Hat jemand einen Tip für mich, was ich da tun kann? Wie muß ich überhaupt sauber vorgehen, wenn sich der Hostname des Zielpfades ändert und ich die GPO dann umbiegen will.

VG

Hallo,

ich hab jetzt mit Schrecken gemerkt, dass beim letzten Update die Zweig für die Internet Explorer Wartung entfernt wurde. Wir haben in einer GPO wichtige URL's, Suche und Supportseite definiert.

Um Ordnung zu haben würde ich diese Einträge gerne entfernen. Bekomme ich die Einstellungen irgendwie weg ohne die GPO komplett neu aufzusetzen ?

Gruß Marcus

Hallo zusammen,

heute wurde uns unter anderem folgendes Problem gestellt:
Auf einem IIS 6 wurde eine Seite zu Maintenance Zwecken umgeleitet. Hier wurde die Option "redirect permanent" gewählt. Die Clients haben dies nun teilweise gecachet, obwohl der redirect nicht mehr besteht.
Die Clients öffnen wieder die richtige Seite und nicht die gecachte Umleitung.

Unsere Antwort bzw. unser Lösungsvorschlag darauf war:
Am einfachsten ist es eine GPO einzurichten. Diese sorgt dafür, dass alle Caches in Ihrer Domäne regelmäßig gelöscht werden.

• Auf 'Start' und dann 'gpedit.msc' ausführen
• Navigieren zu 'Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page\'. 
• Auf der rechten Seite 'Empty Temporary Internet Files Folder When Browser is Closed' auswählen und auf  'Enabled' klicken.

Wir hoffen, vielen Besuchern der TechNet Foren durch das Posten dieses Problems und einer möglichen Lösung weiterhelfen zu können.

Viele Grüße,
Nick Vlasoff
TechNet Hotline für TechNet Online Deutschland

Disclaimer:
Bitte haben Sie Verständnis dafür, dass wir hier auf Rückfragen gar nicht oder nur sehr zeitverzögert antworten können.
Es gelten für die TechNet Hotline und dieses Posting diese Nutzungsbedingungen, Hinweise zu Markenzeichen sowie die allgemein gültigen Informationen zur Datensicherheit sowie die gesondertenNutzungsbedingungen für die TechNet Hotline.

Hallo,

wir haben folgendes Problem:

4 Terminalserver (3*2003, 1*2008x32). In einer Gruppenrichtlinie ist ein Script, der beim Anmelden ausgeführt wird.

Bei den 2003ern funktioniert das auch korrekt, bei dem 2008er funktionierte es bisher auch problemlos. Jetzt haben wir den 2008er neu installieren müssen und seitdem funktioniert der Script nicht mehr. Wenn ich die Gruppenrichtlinienergebnisse drauf ansetze, erscheint bei dem Script folgende Meldung:

Rene Hubert - Systemadministrator - DRK KH Lichtenstein gGmbH

Hallo

Ich haben ein Win2008R2 Terminalserver. Wenn sich ein neuer User anmeldet, bekommt dieser

die Windows Power Shell und den Server Manager an die Schnellstartleiste angehängt.

Wie kann ich das unterbinden ?

lg, Schubi33

schubi33

Siehe Betreff - ich werd wahnsinnig...

Mit IE10 (2008R2) funktioniert die Forennavigation nicht, mit Firefox geht's einigermaßen...

Ich sehe nicht mehr, wer der letzte Beantworter war (ich selber? sonst jemand?)...

Die Anzeige "Meine Foren" wurde ersatzlos entsorgt...

Nur Threads aus nur einem Forum anzuzeigen ist eher mühsam (mit IE10 - siehe oben - unmöglich)...

Die NNTP-Bridge funktioniert seit 3 Tagen nicht mehr...

Und mir fallen einige Wörter ein, die sich hier nicht zur Wiedergabe anbieten...

NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

moin,

wir wollen demnächst in unsere firma win 7 ausrollen und basteln paar gpo's zurecht.
nun fehlt eins, wie schon im Titel beschrieben möchte ich via GPO auf den Windows 7 CLients
den reiter *Netzwerk & Freigabecenter* deaktivieren.
der server ist ein 2008RS OS.

Gruß
David

Hi zusammen!

seit Tagen schlage ich mich nun schon mit meinem Problem herum und komme einfach nicht weiter, x verschiedene Recherchen und Lösungsversuche haben mich bisher leider nur im Kreis geführt. Da ich langsam am verzweifeln bin, hoffe ich innständig, dass Ihr mir helfen könnt...

Folgende Problemstellung:
Domains: Domain A, Domain B, Domain C (jeweils mit zwei DC's, Domain A: 2x 2008 R2, Domain B: 1x 2003, 1x 2008 R2, Domain B: 2x2008 R2)
In Domain B steht ein Terminalserver, an dem sich von Domain A Benutzer anmelden. Zwischen Domain A und Domain B besteht ein externer bidirektionaler tranistiver Trust. Domain C hat mit Domain B ebenfalls einen bidirektionalen transitiven Trust. 

Die Anmeldung mit den Logindaten aus Domain A am Terminalserver in Domain B funktioniert. Hier fängt nun das eigentliche Problem an. Benutzer aus Domain A ziehen die GPO's für den Terminalserver nicht. In der GPO ist "Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen" aktiviert. Benutzeranmeldungen aus Domain C funktionierten mit GPO's perfekt. 

Unterschiede zwischen Domain A und C:
Domain A ist über ein Site to Site VPN mit 10Mbit SDSL angebunden.
Domain A befindet sich in einem anderen Subnet (Domain B und C teilen sich eines)

Was funktioniert:
Wenn in den GPO's in Domain B ein Benutzer aus Domain A hinzugefügt wird, wird dieser korrekt aufgelöst.
FQDN's werden in Domain A und Domain B gegenseitig korrekt aufgelöst, Ping ist möglich.
Benutzeranmeldung von Domain A an Domain B funktioniert.
Dateizugriff Shares

Fehlermeldung auf dem Terminalserver:
Meldung bei gpupdate:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht
aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroll
er erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

gpresult /r:
INFO: Der Benutzer hat keine RSoP-Daten.

Was habe ich bisher versucht:
Trust auf verschiedene Weisen neu erstellt, DNS in Domain A komplett neu gemacht, Virenscanner deaktiviert, lokale Firewalls deaktiviert, dcdiag (scheint alles in Ordnung zu sein)

Ich geh' echt am Stock :-(

P.S.: Ich war' mir jetzt nicht ganz sicher ob die Frage in "Active Directory", "Gruppenrichtlinien" oder "Windows Server" gehört...

Hallo,

ich habe ein GPO erstellt, mit dem Rechner, die 30 Minuten inaktiv sind, automatisch heruntergefahren werden und eine Verknüpfung mit OUs erstellt. Für die allermeisten Rechner funktioniert das auch, eine Handvoll Rechner verweigert das Herunterfahren allerdings beharrlich, diese sind auch in denselben OUs. Domäne ist 2008R2, alle Clients sind Windows 7 Pro 64bit.

Was ich bereits getestet habe:

- Einen der betreffenden Rechner aus der Domäne genommen und wieder hinzugefügt.

- Mit "rsop.msc" und "gpresult" kann ich zwischen einem Rechner, an dem es funktioniert und an einem, an dem es nicht funktioniert, keine Unterschiede feststellen.

- WMI-Filter o.ä., was die Ausführung der Gruppenrichtlinie verhindert, kann ich nicht sehen.

Gruß

MCITP Server Administrator MCTS 2008R2 Server Virtualization

Hallo zusammen,

bei einigen IE 10 Installationen können wir feststellen, dass

- nicht immer die per GPP definierte Intranet-Startseite geladen wird
- anstelle der definierten Startseite der IE die letzte Browsersitzung versucht zu öffnen

Mit den F5-F8 Keys bin ich vertraut und bei den Einstellungen (GPP) für andere IE Versionen klappt es scheinbar auch stabil und fehlerfrei.

Hat hier jemand eine Idee, woran das liegt?

Anmerkung:
Der Verlauf der letzten Sitzung wird NICHT beim Beenden gelöscht und 20 Tage aufbewahrt. (Wäre ja ein Ansatz, diesen zu löschen aber nur letzter Ausweg, um die Störung zu beheben...)

Danke euch allen für eure Beiträge...

Mit freundlichen Grüßen - Harald Haas - MCITP Enterprise Administrator & MCTS Exchange Server 2010 Configuration