Busch-Thomas

@zahni, doch. Habe jetz die Ordner in ihren NTFS-Berechtigungen angepasst. Vielen Dank. Ich dachte ja nur, man kann das per GrRiLi komplett auf Einmal durchdrücken ... Thx

Keiner eine Idee ????

Mahlzeit, ich habe mal 2 Fragen ... 1.) kann ich in meiner Win2000-Domäne per GruRiLi den Usern das Ändern von Benutzerrechten von Dateien und Ordnern verbieten ? Ich habe leider nix passendes gefunden !? und 2.) kann ich den Butzern verbieten, auf ihrem Rechner lokal Dateien zu verschlüsseln? Einige meiner User haben nämlich ihre Dateien verschlüsselt, was sich natürlich schwierig bei der Sicherung macht, weil ich mich als lokaler Admin erst wieder anmelden musste um die Dateien zu entschlüsseln. Nun möchte ich das am Liebsten von vorn herein verbieten. Vielen Dank im Voraus T.B.

Habe gerade mal das Ereigniss-Protokoll des (alten) Servers gecheckt ... Jetzt bringt er mir die Fehlermeldungen EVENT ID 7001 und ID 7022 Kann das was damit zu tun haben ???

Ich hatte eigentlich vor, beide Server auf Dauer nebeneinander her laufen zu lassen. Nun hatte ich mich aber dazu durch gerungen, den alten Server Platt zu machen und ihn als "Ersatzteil-Spender" zu vergewaltigen :-) Also muss ich ja die FSMO-Rollen von alt auf neu übertragen und natürlich auch den GC. Und das will er nicht, der alte Server. :p vielleicht ahnt er ja, das es ihm an den Kragen gehen soll :p

Hallo bienchen :-) also der Global Catalog liegt noch dort wo er sein sollte. Noch immer auf dem Server-Alt. Fehlermeldungen im evenllog [prüfe] ... moment ... [/prüfe] Also Fehler kann ich nicht wirklich entdecken, bzw. es wurden keine im Zusammenhang gemeldet. Einzig eine Fehlermeldung mit ID 1202 Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. ... u.s.w. hat er mir ständig gemeldet. Aber das hat wohl eher damit zu tun, das der bisherige Admin seine Konten nicht sauber geführt hat :nene:

Hi Jan, erst mal Danke für Deine fixe Antwort ! Dann versuche ich Dir mal zu antworten ... Ja, da gebe ich Dir natürlich Recht. AD und GruRiLi´s laufen super, ist also ein Indiz für ein funktionierenden DNS. Ich dachte, das macht Win2kServer automatisch, wenn ich den 2. Server per dcpromo zum zusätzlichen DC herauf stufe? Also das gegenseitige 'anpingen' klappt. Im Ereignisprotokoll sehe ich nichts auffälliges was auf einen Fehler schließen lässt ... Und zwischen beiden Rechnern (Servern) ist auch keine Hardware wie Firewall oder ähnliches. Im Prinzip hängen beide am gleichen SWITCH. Beide DC´s als DNS-Server ... ? Naja, da habe ich so meine Bedenken... Grundsätzlich läuft auf beiden Servern das ADintegrierte DNS. Aber irgendwie glaube ich, dass es auf dem neuen Server nicht wirklich läuft. Denn das Problem das ich im ersten Posting geschrieben jabe, würde mich sofort auf DNS schließen lassen ! Und zu dem Tool, das probiere ich jetzt sofort mal aus. Musste nur meine CD suchen ... Aufgefallen ist mir im übrigen auch, als ich die FSMO´s übertragen wollte, kam folgende Fehlermeldung : "Die Übertragung der Funktion des aktuellen Betriebsmasters konnte nicht durchgeführt werden. Grund : Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar" Ich gebe zu, ich bin jetzt verwirrt !

Hallo Gemeinde :p ... ich hole mal etwas weit aus ... also : ich melde mich mal wieder mit einer Frage zu meinem Server. Ich habe eine Windows2000-Domäne. In meiner Domäne gab es bisher nur einen DC. Nach ein paar Problemen, die ich mit einem neuen Server hatte (konnte aber mit Hilfe des MCSEboard´s geköst werden :) ), habe ich nun meinen neuen Server per dcpromo zum 2. DC machen können. Das hat auch alles nun soweit funktioniert. Das AD würde an den neuen Server übertragen. Bis heute bin ich auch schwer davon ausgegangen das beide Server brav nebeneinander her arbeiten. Jedenfalls wurde das AD auf den 2. Server übertragen. Nun wollte ich heute ein neues Konto erstellen, und da ist mir aufgefallen, die beide Server alles andere machen, als zusammen zu arbeiten ... Nach dem Erstellen des Kontos wollte ich an einem Client gleich testen, ob es klappt. Der Nutzer konnte sich nicht an der Domäne anmelden, da das Konto unbekannt war. Ich dachte mir dann, das es evtl. sein kann das beide Server noch nicht repliziert haben und ich einfach mal ne Weile warte. Nun ist das Ganze aber schon etwa 4 Stunden her und es geht immer noch nix. Deshalb liegt für mich der verdacht nahe, das es an Einstelleungen am DNS-Server liegen muss. Denn alles andere klappt soweit. Die GruRiLi´s greifen, alle Konten funktionieren ... Deshalb meine Frage. Kann ich bedenkenlos an meinem alten DC den DNS-Server löschen und ihn neu erstellen? Oder hat das Auswirkungen auf meine AD-Konten? (Ausser evtl. kurzzeitige). Bin für jede Hilfe dankbar ! Tom

Guten Morgen :p Ja klar stehen die Clients drin. Also ich glaube wirklich, dass der DNS läuft. Denn die Auflösung an den Clients klappt auch einwandfrei. Auch die Verbindung zur anderen vertrauten Domäne und eben auch das Internet.

Wie kommst Du darauf? Jetzt geht doch alles. Die GruRiLi´s und beide Server. Auch die Weiterleitung an einen anderen DNS-Server funktioniert. Und ins Internet kommen auch alle (die, die dürfen ;) )

Ich habe schon jede Menge DC bestehenden Domänen hinzugefügt. Ich braucht dafür nie diese Richtlinie ändern. Hat da jemand dran gedreht? Nochmals die Frage, wie wurde der Server der Domäne hinzugefügt? Naja, kann sein das der Admin vorher diese Richtlinie vergeben hat. Aber der ist nicht mehr da, also auch nicht zu befragen! Wie der Server hinzugefügt wurde ... ? Also Betriebssystem installiert, dann mit dem Admin-Konto den Server der Domäne hinzugefügt und danach mit dcpromo den neuen Server herauf gestuft.

Ich bin der glückliche Mann :-) Problem gelöst !!! Folgendes war das Problem : auf dem alten DC musste in der lokalen Sicherheitsrichtlinie ein Konto angegeben werden, welches berechtigt ist, einen weiteren Server zum DC heraufzustufen. Genau wurde es eingestellt bei : START -> PROGRAMME -> VERWALTUNG -> LOKALE SICHERHEITSRICHTLINIE und dann bei "Zuweisen von Benutzerrechten" den Punkt Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird. Thats it ... Und dort habe ich mein Admin-Konto eingetragen und dann konnte ich dcpromo auch auf dem neuen Server ausführen, das AD übertragen. Trotzdem mega Danke für Deine Mühe !!! Aber ich melde mich ganz sicher bald wieder hier, da ich mir sicher bin das das nicht das letzte Problem mit meinem Netz sein wird :-) Thanks Tom

Naja, unbekannt war vielleicht das falsche Wort :rolleyes: . Er ist in der Domäne natürlich schon bekannt. Wollte dem Server aber "vertrauen" und diese Einstellung ließ der alte DC nicht zu. Kommt mir echt so vor, als ob lokal auf dem DC eine Richtlinie liegt die keinen weiteren DC zulässt. Ich wüsste nur nicht, wo die hinterlegt sein soll. Ich habe mir echt schon den Wolf auf dem alten DC gesucht ! :suspect:

Ach so ... okay :wink2: Also ich denke mal, ich habe auf dem DC irgendwo etwas liegen, was es verbietet einen unbekannten Server zum DC herauf zu stufen. Denn als ich im AD den neuen Server angewählt habe und die Einstellung "diesem Server vertrauen" auswählen wollte, wurde mir gemeldet : "Die Sicherheitseinstellungen lassen es nicht zu, dass sie angeben, ob diesem Konto für die Delegierung vertraut werden kann oder nicht"

Also die Reverse-Lookupzonen sind auch in Ordnung! Mal so nachfrag ... DC ist klar, Clients auch, aber was meinst Du mit Member ????