Laufwerkzuordnung über Gruppenrichtlinie

Moin,

Winfried Sonntag [MVP] schrieb:
> Mir war nur so, daß Mark (wo ist der eigentlich?) zu diesem
> Thema schon einen Thread hatte, Das Ergebnis war, UAC innerhalb einer
> Domain abschalten.

hmja, wobei ich der Aussage dieses Threads zumindest derzeit nicht in
jeder Situation ungeprüft vertrauen würde. Wer eine ... neutralere
Haltung zu UAC hat, wird die Empfehlung "Abschalten" vielleicht nicht
ganz so schnell aussprechen.


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski

Nils Kaczenski [MVP] schrieb:

Hi,

> hmja, wobei ich der Aussage dieses Threads zumindest derzeit nicht in
> jeder Situation ungeprüft vertrauen würde. Wer eine ... neutralere
> Haltung zu UAC hat, wird die Empfehlung "Abschalten" vielleicht nicht
> ganz so schnell aussprechen.

da kann ich dir nicht widersprechen und nicht zustimmen. Mangels VISTA
in der Domain.

Anders gefragt, was passiert wenn ich innerhalb einer sauber
konfigurierten Domain UAC abschalte? Mit sauber konfiguriert mein ich,
Benutzer sind Benutzer und nicht mehr. An dieser Stelle greift UAC doch
gar nicht? Oder versteh ich was flasch.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Moin,

Winfried Sonntag [MVP] schrieb:
> Anders gefragt, was passiert wenn ich innerhalb einer sauber
> konfigurierten Domain UAC abschalte? Mit sauber konfiguriert mein ich,
> Benutzer sind Benutzer und nicht mehr. An dieser Stelle greift UAC doch
> gar nicht? Oder versteh ich was flasch.

nein, das ist durchaus richtig eingeschätzt. Solche Benutzer werden,
wenn überhaupt, nur höchst selten mit UAC in Kontakt kommen. Und wenn
doch, sind es meist Situationen, in denen UAC deutlich komfortabler ist
als der alte runas-Ansatz. (Das gilt übrigens nicht nur in einer Domäne,
sondern auch lokal.)

Dass alle über UAC meckern, liegt im Wesentlichen nur daran, dass sie
eben doch mit Adminrechten unterwegs sind ...


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski

Nils Kaczenski [MVP] schrieb:

Hi,

> Dass alle über UAC meckern, liegt im Wesentlichen nur daran, dass sie
> eben doch mit Adminrechten unterwegs sind ...

und es auch in Zukunft mit abgeschalteten UAC weiterhin tun werden.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Moin,

Winfried Sonntag [MVP] schrieb:
> [...] Mir war nur so, daß Mark (wo ist der eigentlich?)

.... der hatte bis gerade eben keine Vista Gruppen aboniert :-)

> zu diesem Thema schon einen Thread hatte, Das Ergebnis war,
> UAC innerhalb einer Domain abschalten.

Yepp. Aber die Idee stammt nicht von mir, sie unterstützt nur meine
Einstellung. Mit UAC laufen halt keine AnmeldeScripte und damit
ist es ein k.o.-Kriterium.
Ich habe es seit Januar nicht mehr probiert, aber ich gehe nicht
davon aus, das es seit dem durch einen Patch behoben ist.

Logon script issues with Vista?
http://blogs.dirteam.com/blogs/gpogu...sta_3F00_.aspx

Follow up to Vista logon script issues
http://blogs.dirteam.com/blogs/gpogu...pt-issues.aspx

Vista logon script issues revisited, again
http://blogs.dirteam.com/blogs/gpogu...00_-again.aspx

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Mark Heitbrink [MVP] schrieb:

Hi,

> Winfried Sonntag [MVP] schrieb:
>> [...] Mir war nur so, daß Mark (wo ist der eigentlich?)
>
> ... der hatte bis gerade eben keine Vista Gruppen aboniert :-)

hmm, wie hast Du dann hier gepostet?
Message-ID: <#TskgQhQHHA.3520@TK2MSFTNGP05.phx.gbl>
Message-ID: <#8wVp6IQHHA.4280@TK2MSFTNGP02.phx.gbl>

>> zu diesem Thema schon einen Thread hatte, Das Ergebnis war,
>> UAC innerhalb einer Domain abschalten.
>
> Yepp. Aber die Idee stammt nicht von mir, sie unterstützt nur meine
> Einstellung. Mit UAC laufen halt keine AnmeldeScripte und damit
> ist es ein k.o.-Kriterium.

Dann haben mich meine grauen Zelle nicht ganz im Stich gelassen.

> Ich habe es seit Januar nicht mehr probiert, aber ich gehe nicht
> davon aus, das es seit dem durch einen Patch behoben ist.

Wieso? Hast Du vielleicht kein VISTA mehr im Einsatz? SCNR!

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm

Moin,

Mark Heitbrink [MVP] schrieb:
> Mit UAC laufen halt keine AnmeldeScripte

das scheint so ja nicht zu stimmen. Siehe Daniels Posting oben.

> und damit ist es ein k.o.-Kriterium.

Wäre es dann nicht mehr.

> Logon script issues with Vista?
> Follow up to Vista logon script issues
> Vista logon script issues revisited, again

Du weißt, dass keiner der drei zitierten Artikel deine Haltung stützt?
Ebenso wenig ist der von Darren zitierte TechNet-Artikel ein Beleg
dafür. Im Gegensatz zu dir ordnet Darren das auch richtig ein:
GPO-basierte Logonskripte sind für solche Benutzer ein Problem, die
(entgegen allen Empfehlungen) mit einem administrativen Konto arbeiten.
Für solche Benutzer bietet der Technet-Artikel auch einen Workaround.

Meine Schlussfolgerung: Es ist an der Zeit, sich von einem lieb
gewonnenen, aber eben falschen Vorurteil zu trennen.


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski

Hi,

Nils Kaczenski [MVP] schrieb:
> das scheint so ja nicht zu stimmen. Siehe Daniels Posting oben.

Den muss ich mir per Googel suchen, hast du mal nen Link?
Mein Newsreader sortiert automatisch "alte" Postings aus.

>> und damit ist es ein k.o.-Kriterium.
> Wäre es dann nicht mehr.

Doch ist es immer noch.

>> Logon script issues with Vista?
>> Follow up to Vista logon script issues
>> Vista logon script issues revisited, again
> Du weißt, dass keiner der drei zitierten Artikel deine Haltung stützt?

Doch. Denn UAC ist eine Funktion, die ich unter einer einzigen Bedingung
verwenden möchte: Ich habe lokale Administratoren.
Bei uns und sicherlich auch anderen die komplette Entwicklerumgebung, die
AdminWorkstations und nicht zu vergessen: mein eigener Account :-)

> Ebenso wenig ist der von Darren zitierte TechNet-Artikel ein Beleg
> dafür. Im Gegensatz zu dir ordnet Darren das auch richtig ein:
> GPO-basierte Logonskripte sind für solche Benutzer ein Problem, die
> (entgegen allen Empfehlungen) mit einem administrativen Konto arbeiten.

.... was die Leute tun werden, da sie ja jetzt UAC haben und damit einen
"sicheren" Administrator. Wenn ich eine LUA Umgebung realisiert habe,
brauche ich kein UAC, denn die Benutzer sind schon sicher vor der
Ausführung schadhafter Software.

> Für solche Benutzer bietet der Technet-Artikel auch einen Workaround.

Ein Geplanter Task ist wohl eher ein Würgaround, wenn ich das Anmelde
Script als geplanten Task einbinden muss, dann kann ich es auch gleich
komplett weglassen und beim Roll-Out der Clients einen Link in den
Autostart zum %logonserver%\netlogon\anmelde.bat legen ... LOL

> Meine Schlussfolgerung: Es ist an der Zeit, sich von einem lieb
> gewonnenen, aber eben falschen Vorurteil zu trennen.

Nö, denn es ist kein Vorurteil.

UAC brauche ich nur für Adminkonten, bei Domänen-Benutzern ist es
völlig überflüssig, aber bei den Admins läuft kein Script, also weg damit.
Was man als "weg" definiert ist die Entscheidung:
Entweder UAC oder die Adminkonten.

Da zu 98% Faulheit siegt, denn Entwickler müssen entwickeln dürfen,
Admins wollen administrieren und ich möchte aber meine Scripte simple
wie immer bereitstellen -> UAC weg.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english

Moin,

Mark Heitbrink [MVP] schrieb:
> Doch. Denn UAC ist eine Funktion, die ich unter einer einzigen Bedingung
> verwenden möchte: Ich habe lokale Administratoren.

falsch. (Es sei denn, du meinst mit "ich" wirklich nur dich, aber dann
sind wir eben sehr schnell doch wieder beim Thema Vorurteil.)

> und nicht zu vergessen: mein eigener Account :-)

Das mag als coole Schrulligkeit durchgehen ;-), aber ich halte es für
den administrativen Alltag für unnötig, in der Standardsession mit einem
Adminaccount zu arbeiten. Ich praktiziere das jetzt seit laaangem
erfolgreich. Geht sehr gut. Und mit Vista (wenn ich es endlich mal in
der Firma einsetzen darf) wird vieles davon dank UAC noch einfacher werden.

> ... was die Leute tun werden, da sie ja jetzt UAC haben und damit einen
> "sicheren" Administrator.

An der Stelle stimme ich dir zu, weil Microsoft da selbst in seiner
völlig falschen Einordnung des UAC-Features die Wahrnehmungskatastrophe
erst verursacht hat. Das ist aber in erster Linie ein Problem der
Darstellung und der daraus folgenden Haltung und kein technisches.

> Wenn ich eine LUA Umgebung realisiert habe,
> brauche ich kein UAC

Falsch. (Bzw. "ich" brauche es nicht ganz so dringend, aber es hat immer
noch große Vorteile.)

> Ein Geplanter Task ist wohl eher ein Würgaround

Das ist durchaus korrekt, rechtfertigt aus meiner Sicht aber noch lange
nicht die Pauschalempfehlung "UAC abschalten". Es gibt auch
Spezialsituationen, in denen ein Gurt hinderlich ist, deshalb ist es
aber immer noch sinnvoll, ihn immer anzulegen.


Schöne Grüße, Nils

--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/pr...Nils.Kaczenski

Mark Heitbrink [MVP] schrieb:

> Nils Kaczenski [MVP] schrieb:
>> das scheint so ja nicht zu stimmen. Siehe Daniels Posting oben.
>
> Den muss ich mir per Googel suchen, hast du mal nen Link?
> Mein Newsreader sortiert automatisch "alte" Postings aus.

Message-ID: <ujCyOnEmHHA.1216@TK2MSFTNGP03.phx.gbl>

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
Win2000-FAQ: http://w2k-faq.ebend.de
GPO's: www.gruppenrichtlinien.de
W2K Up2date: http://home.arcor.de/jterlinden/index.htm