Neuinstallation Win 11 Rechner, Turbomed Start im Admin-Modus

[Saugguat]

Hallo an alle,
meine Suche im Forum war hier nicht erfolgreich. Starte ich auf dem neu aufgesetzten Win 11 Rechner TM im Adminmodus (wie ja gewünscht nach Update) mit unserem Standardnutzer "Praxis" findet er die Lizenz (wohl auf dem Netzlaufwerk) nicht, TM startet im Demomodus. Ich vermute Zugriffsrechteprobleme auf die Lizenz. Den Trick mit Regedit "EnableLinkedConnections" habe ich probiert (der User soll dann wohl auch mit Adminrechten auf Netzlaufwerke zugreifen können, allerdings ist dieser Eintrag auch bei den älteren Win 10 Rechnern nicht vorhanden und dort kann ich TM mit Adminrechten starten). Auch hier wäre ich für eine Idee dankbar...

[Thomas]

Gib doch einfach den Pfad zur Lizenzdatei als UNC Pfad an (\\servet\turbomed....)

Nur so als ganz schnelle Idee

[Saugguat]

Hallo Thomas,

habe ich in den Grundeinstellungen mal eingegeben (Lizenz - Pfad - \\TMServer\TurboMed\Lizenz). Geht trotzdem nicht. Könnte es sein, dass es mit dem Microsoft Account was zu tun hat? Admin auf dem neuen PC ist über den Account eingerichtet (also meine Email), "Praxis" als lokaler Benutzer nachträglich angelegt. Wenn Praxis im Adminmodus gestartet wird - erkennt ihn der Server noch als "Praxis"?

[Thomas]

Oh weh... Microsoft Accounts... das schreit nach Ärger... Sorry, ich muss weg - das dauert jetzt länger, als ich Zeit habe. Ggfs. einfach UAC abschalten, dann geht es auch ohne "Starten als Admin" (in der Annahme, dass der Benutzer Admin ist).

[petpfa]

Guten Abend,
kann auch ein Ergebnis des Sch.... Win 11 24H2 Updates sein. Durch das Update werden wohl "schärfere" Sciherheitseinstellung im LAN aktiviert, die Zugriffe verhindern.
Hatten hier auch Probleme auf einen Server zuzugreifen. Habe im WWW eine Anleitung zur Änderung der Gruppenrichtlinene gefunden, dann ging der Zugriff wieder.

Bitte ohne Gewähr!
Win-Taste + R, gpedit.msc eingeben und starten
1. Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> LabMan Arbeitsstation
unsichere Gastranmeldung aktivieren auf "aktiviert" setzen
2. Compuerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
Microsoft Netzwerk (Client): Kommunikation digital signieren (immer) auf "deaktiviert" setzen.
Viel Erfolg!

[horkano007]

...die ersten Fragen meinerseits wären ja folgende:
1.) Ist TM NEU installiert worden und dann im Explorer umbenannt in "TurboMed_neu" oder so... --> vor dem ersten Start ?
2.) Ist dann das "alte TurboMed" von Win10 an DIE Stelle kopiert worden, wo das neu installierte wurde ? ( logisch sollte es der selbe Laufwerksbuchstabe sein !)
3.) ....dann würde ALLES funktionieren !!!!
4.) Wenn alles anders ist, dann darf es KEINEN "Lizenz"-Ordner geben, denn aus Diesem wird eigentlich der "Mustermann" aktiviert.
Es gibt im Fall 4. aber noch viele andere "Baustellen", die man sich ersparen sollte...

PS.: Ich habe vorige Nacht einfach auf zwei Mini-PC-Win10-Arbeitsplätzen per Teamviewer das vom Microdoof beworbene Win11-Update
aktiviert... und nach drei Stunden konnte ich wieder auf die PCs zugreifen....und mich nur wundern...
---> ALLES konvertiert, installiert incl. aller Drucker und deren Einstellungen.... ---> war das erste mal, wo ich mich drauf eingelassen habe,
aber es ist ja fast kein Praxisbetrieb wegen Urlaubszeit. Und es läuft ALLES... 24H2, soo wie auf den meisten PCs, die ich komplett NEU aufgesetzt habe.

[scottsdalegirl]

Nach dem neu Aufsetzen VOR dem ersten Start von TM im Explorer den Pfad zum Server freigeben und auch vor dem ersten Start in den GE den Serverpfad anpassen (geht ohne Start TM). Antivirus Software inkl. Firewall aus.
Dann auch vor dem ersten Start den kompletten Lizenz Ordner kopieren/ersetzen (mache ich vom Hauptrechner), außerdem (damals Tipp von einem schlauen Fuchs hier im Forum) trotzdem immer noch aus Turbomed\Programm local.bac, global.bac sowie local.ini und global.ini und licence Datei kopieren/ersetzen.
Firewall-Einstellungen vom Hauptrechner klauen.
Bei mir (Win 11 24H2) in den letzten Wochen 3 Rechner neu aufgesetzt, keine Freigabe-Probleme.

[Saugguat]

Danke für die Tipps! Gut zu wissen dass es funktionierende Workarounds gibt - so schnell will ich mich noch nicht geschlagen geben, da ich 2 PCs dann evtl. komplett neu aufsetzen müsste, muss es aber jetzt klären, da 5 weitere folgen. @Scottsdalegirl - sind die Rechner mit 2 lokalen Benutzern (Administrator und z.Bsp. Praxis o.ä.) oder auch mit einem Microsoft Konto eingerichtet worden?

[Thomas]

Nur so als Nebensatz: Ich würde im Praxisbetrieb NIE Microsoft-Konten verwenden, die machen bei der rechnerübergreifenden Rechtevergabe maximalen Stress. Immer mit lokalen Konten. Wie das geht, ist ein wenig kompliziert - einfach mal googeln. (Kurzform: Ohne LAN-Kabel die Installation starten, Shift-F10, oobe\bypassnro starten. LAN erst anschließen, wenn die Benutzer angelegt sind - oder nachdem das Setup fertig ist.)

[Saugguat]

Hallo Thomas,

OK, klingt logisch wenn man es weiß. Alternativ wollte ich heute Abend mal versuchen, einen zusätzlichen Benutzer auf dem Server anzulegen mit Usernamen des Microsoft Kontos (wohl die ersten Buchstaben der Email-Adresse? muss ich noch schauen). Erwartet hätte ich allerdings, dass TM sich ggü. dem Server als User „Praxis“ ausgibt, nur eben mit Adminrechten, nicht als der eigentliche Adminuser.
Dann nur Neuinstallation? Kann man alternativ ein 2. lokales (Administrator) Konto anlegen und das Microsoftkonto deaktivieren oder vergebliche Mühe?
Gruß, Martin

[Thomas]

Also wenn man "Ausführen als Administrator" macht, dann erzeugt Windows(!) im Hintergrund (wenn UAC/Benutzerkontensteuerung an ist) eine neue Benutzersession, in der dann die gemappten Netzwerklaufwerke fehlen. (Gleich die Korrektur dessen, was ich sage: So war es zumindest früher - jetzt unter Windows 11 scheint das nicht mehr so zu sein, zumindest an meinem PC nicht. Ich würde aber sicherheitshalber dennoch mal davon ausgehen, um Überraschungen zu vermeiden.)

In Konsequenz habe ich es bisher immer so gehandhabt: Gemappte Laufwerke vermeiden. Microsoft-Konten vermeiden (weil es damit am Server schwer ist, Rechte zu vergeben). Lokale Benutzer sind bei mir immer Administratoren (bitte nicht schlagen, ich weiß... aber es macht weniger Kopfschmerzen). UAC habe ich - wenn es machbar ist - aus. (Auch hier: Ich weiß es besser, aber manchmal ist das einfacher, wobei UAC in den letzten Jahren weniger Ärger macht, als anfangs.)

In deinem Fall würde ich in der Tat ein neues Admin-Konto als lokales Konto anlegen, sicherstellen, dass es wirklich Admin ist (und der normale User vielleicht auch, s.o.) und dann das MS-Konto löschen. Eine Neuinstallation sehe ich als absolut nicht notwendig an!

ALLERDINGS: Nachdem ich gerade auf meinem W11 PC cmd mit "Ausführen als Administrator" gestartet, das UAC-Fenster (ich habe es hier an) bestätigt habe, habe ich meine gemappten Laufwerke gesehen - also alles in Ordnung, und TM würde/sollte hier auch keine Probleme haben, die Lizenzdatei am Server zu finden. Es ist hier scheinbar irrelevant, welcher User Admin ist und ob der MS- oder lokal ist. Also vermutlich erzähle ich hier zwar viel richtiges, aber für den vorliegenden Fall irrelevantes - der Fehler liegt wohl woanders.

[Johnny]

Genauso mache ich es auch!
UAC gab es früher auch nicht, bzw habe ich es schon immer auf null heruntergefahren und es nervt nur!
Also Schiebregler runter auf NULL.
Ich weis, die Viren und die keylogger.
Und Fingerweg von den Internetkonten (leider kaum noch möglich, wenn man komfort haben will). Aber da wird alles registriert, denn wozu sind sie denn sonst da?
Und die Daten werden laufend verkauft und dann wundert man sich, daß dieses und jenes Angebot einen erreicht und die bereits alles von einem wissen.

Grüsse aus Kiel
Johnny

[Saugguat]

Teil(?)erfolg: Binde ich im Microsoft-Account das Netzlaufwerk des Servers mit den Anmeldedaten des Nutzers "Praxis" ein, kann ich auch nach Neustart des Rechners TM im lokalen Benutzer Praxis als Admin starten - vorerst scheint mir damit geholfen. Vielen Dank für die vielen Antworten - ich habe wieder viel dazugelernt!

[lcer]

Hallo,

ich hoffe, den Unfug hier liest keiner. Die saubere Lösung wäre:

1) Windows Domäne mit dedizierten Domänencontroller einrichten.
2) alle Praxisrechner in diese Domäne aufnehmen.
3) nur Benutzerkonten dieser Domäne verwenden.

Falsch ist:

1) Microsoft-Konten verwenden
2) UAC abschalten
3) Windows 10/11 als Server verwenden
4) normalen Benutzern Admin-Rechte geben.

Dieses coole Gerede „UAC gab es früher auch nicht“ und „Sicherheitsfeatures abschalten“ hört spätestens dann auf, wenn man auf die Schauze fällt. Ransomware als Geschäftsmodell gab es früher nämlich auch nicht. Wem sichere IT zu teuer ist, kann doch gerne seine KV fragen, ob sie wieder handschriftlich ausgefüllte Abrechnungsscheine akzeptiert.

Und die ganzen IT-Dienstleister, die meinen, solchen Murks Unterstützen zu müssen, sollten dringend ihre Haftungsrisiken neu bewerten.

Sorry, aber man kann nicht selbst ständig rumpfuschen und gleichzeitig auf Microsoft und CGM schimpfen.

Heute dürfte in fast jeder Praxis der PC ein essentielles Arbeitsmittel sein. Um essentielle Arbeitsmittel sollte man sich gut kümmern. Und man kann die Ausgaben tatsächlich als Betriebsausgaben geltend machen! Kosten für einen neuen Server wertet das Finanzamt nicht als Liebhaberei.

Grüße

lcer

[Saugguat]

Hallo Icer,

ich gebe Ihnen vollkommen recht - wenn man jemanden vor Ort hat, kompetent, der/die schnell reagiert wenn etwas nicht funktioniert - super! Ich bin Arzt, kein ITler. Allerdings weiss ich wie es sich anfühlt, wenn auf einmal die IT nicht geht, Karten können nicht eingelesen, nichts dokumentiert und keine Rezepte ausgegeben werden - und man ist in einer Hotline in einer Warteschleife, da man sein System nicht kennt. Insofern möchte ich selbst verstehen, wie die Dinge eingerichtet sind, um auch ggf. selbst schnell eine Lösung zu finden. Bsp.: Ausfall eines Switches - das Problem konnte ich sofort identifizieren und lösen. Die Kocobox habe ich über den Kocoshop gekauft und mich durch die Installation mit Hilfe dieses Forums gehangelt - Vorteil: ich kenne das Infomodell und konnte unser gestorbenes Cherry schnell ersetzen und ein neues KT installieren.
Bzgl. der Erneuerung der Clients habe ich wenig Probleme gesehen (den Server habe ich z.Bsp. vom Dienstleister erneuern lassen). Beim Erststart Windows 11 wird ja automatisch ein Microsoftkonto vorgeschlagen - nun weiß ich Bescheid.
Evtl. war der Fehler auch ein ganz einfacher - vielen Dank noch einmal für den Hinweis mit der Domäne - ich hatte die Arbeitsgruppe noch nicht angepasst. Momentan laufen die zwei neuen Clients problemlos.
Vielen Dank für die vielen Beiträge, mit dem gewonnenen Wissen versuche ich dann in anderen Threads Hilfe zu geben .

Gruß, Martin

[FortiSecond]

Hallo,

ich hoffe, den Unfug hier liest keiner. Die saubere Lösung wäre:

1) Windows Domäne mit dedizierten Domänencontroller einrichten.
2) alle Praxisrechner in diese Domäne aufnehmen.
3) nur Benutzerkonten dieser Domäne verwenden.

Falsch ist:

1) Microsoft-Konten verwenden
2) UAC abschalten
3) Windows 10/11 als Server verwenden
4) normalen Benutzern Admin-Rechte geben.

Dieses coole Gerede „UAC gab es früher auch nicht“ und „Sicherheitsfeatures abschalten“ hört spätestens dann auf, wenn man auf die Schauze fällt. Ransomware als Geschäftsmodell gab es früher nämlich auch nicht. Wem sichere IT zu teuer ist, kann doch gerne seine KV fragen, ob sie wieder handschriftlich ausgefüllte Abrechnungsscheine akzeptiert.

Und die ganzen IT-Dienstleister, die meinen, solchen Murks Unterstützen zu müssen, sollten dringend ihre Haftungsrisiken neu bewerten.

Sorry, aber man kann nicht selbst ständig rumpfuschen und gleichzeitig auf Microsoft und CGM schimpfen.

Heute dürfte in fast jeder Praxis der PC ein essentielles Arbeitsmittel sein. Um essentielle Arbeitsmittel sollte man sich gut kümmern. Und man kann die Ausgaben tatsächlich als Betriebsausgaben geltend machen! Kosten für einen neuen Server wertet das Finanzamt nicht als Liebhaberei.

Grüße

lcer

Abgesehen von der Windows-Domäne in wirklich kleinen Umgebungen (wo sie auch nützlich, sicherer und strukturierter wäre, aber eben vielleicht auch mal Overkill - speziell bei Linux-Server) kann ich das unterschreiben und danke für die prägnante Zusammenfassung.

[lcer]

Hallo,

Vielleicht als Ergänzung zum Thema Domäne:

Ohne Domäne wird NTLM (v2) zur Absicherung von Zugriffen auf den Server verwendet, zum Beispiel bei Zugriffen auf die Server-Freigaben. Mit Domäne wird stattdessen Kerberos eingesetzt.

NTLM ist unsicher und sollte vermieden werden, wenn möglich sollte Kerberos verwendet werden. Bei Einzel-PC, z.B. im Privaten zu Hause, spielt das keine Rolle. Wenn jedoch Netzwerkzugriffe zwischen PCs oder Servern erforderlich sind, stellt es eine relevante Sicherheitslücke dar. Auch daher die Empfehlung: wenn 2 oder mehr PCs -> Domänennetzwerk verwenden. Von mir aus auch über Linux/Samba. Aber eben mit Kerberos.

Grüße

lcer

[FortiSecond]

Off-topic

Hallo,

Vielleicht als Ergänzung zum Thema Domäne:

Ohne Domäne wird NTLM (v2) zur Absicherung von Zugriffen auf den Server verwendet, zum Beispiel bei Zugriffen auf die Server-Freigaben. Mit Domäne wird stattdessen Kerberos eingesetzt.

NTLM ist unsicher und sollte vermieden werden, wenn möglich sollte Kerberos verwendet werden. Bei Einzel-PC, z.B. im Privaten zu Hause, spielt das keine Rolle. Wenn jedoch Netzwerkzugriffe zwischen PCs oder Servern erforderlich sind, stellt es eine relevante Sicherheitslücke dar. Auch daher die Empfehlung: wenn 2 oder mehr PCs -> Domänennetzwerk verwenden. Von mir aus auch über Linux/Samba. Aber eben mit Kerberos.

Grüße

lcer

Da gehe ich konform, sehe in der Praxis diesen Angriffsvektor aber als "relativ untergeordnet" in Anbetracht der allgemein sehr laxen Umgehensweisen in der Fläche:

(UND/ODER-Auflistung)
- Alle PC mit gleichem User/Kennwort*
- Viele kennen diverse Kennwörter*
- Verwendung von Accounts mit Admin-Rechten für die tägliche Arbeit (dann auch (erstmal / per default) auf dem Server)*
- Keine Bildschirmsperre
- Keine Sperre für externe Datenträger bzw. keine USB-Whitelist
und so weiter.

Die mit * hebeln quasi den Großteil der Sicherheit aus, auch in Domänen.
Jeder dieser Punkte mit * kann bereits ein Verstoß gegen den §75b SGB V sein.

Uh, ich sehe gerade: meine Relativierung kratzt an Whataboutism. Nur weil die anderen Punkte den Kerberos entwerten mögen, bleibt es trotzdem obligat, moderne und vorhandene Sicherheitsmechanismen zu verwenden, damit sie greifen können, wenn der Rest passt. Stand der Technik.

Bevor das hier völlig ins Off-Topic oder Unendliche abgleitet, könnten wir ggf. eine Auflistung der Common Mistakes und Best Practices im entsprechenden Unterforum aufstellen. Dabei wäre es aber gut, sich auf TM-nahe Topics zu beschränken bzw. bezüglich Netzwerkgrundlagen auf bestehende umfangreiche Sammlungen verweisen.

[lcer]

Hallo,

das mit den Best-Practices ist eine gute Idee.

Off-Topic ist das allerdings nicht. Ein Domänen-Member-Client hätte nach dem Domänen-Join keine Zugriffsprobleme gehabt.

Grüße

lcer

[TMUser2015]

Wer es relativ einfach und kostengünstig mit einer Domäne versuchen will: Das soll auch über eine Synology gehen.
https://www.ip-insider.de/synology-nas- ... 768da8d94/

Habe ich aber selbst nicht ausprobiert, da hier eine Domäne über Windows Server läuft. Ich könnte mir vorstellen, dass viele TI-Probleme mit Namensproblemen, asynchroner Zeit auf Rechnern etc. zustande kommen. Bei uns läuft es zum Glück einigermaßen stabil. Plane aber derzeit den Abschied von TM, irgendwann springt der Frosch dann vielleicht doch aus dem heißen Wasser.