niesfisch

btw. hab ein deutsches W2k3... drum jetzt alles in D Ich hab dich doch richtig verstanden, dass es um die Berechtigungen des Konten-Administratoren auf eine bestimmt OU geht. Wenn ich dort in den erweiterten Berechtigungen schaue, dürfen die Konten-Administratoren: Computer, Benutzer und Gruppen jeweils erstellen und löschen (nicht geerbt). In dieser OU befindet sich auch ein "bertoffenes" Nutzerobjekt. Wenn ich mir die Berechtigungen anschaue die noch vergeben werden könnten, finde ich nichts was auf Passworte hindeutet.

Was durchgeführt? Die Konten-Operatoren sind sonst nur noch Domänen-Benutzer. Weiß nicht ob es etwas zur Sache tut, aber das ADS-Snap-In, wird über RDP auf einen Memberserver ausgeführt (zum Kennwort ändern).

Hallo, AD-Benutzer die in die vordefinierte Gruppe Konten-Operatoren gesteckt werden dürfen zwar sämtliche Attribute eines Nutzerobjekts verändern, aber keine Kennwörter zurücksetzen. Lapidare Aussage des W2k3 ADS "Zugriff verweigert". Dürfen Konten-Operatoren keine Kennwörter zurücksetzen, oder gibt's noch einen Schalter zum umlegen, damit das geht? Danke! Andreas

wird bei einer Clientacess Lizenzierung pro Device auch für jede Windows-Servermaschine ein Device CAL benötigt? Die benutzen ja genauso andere Serverdienste, also ja?

Und wo stelle ich die Lizenzierung auf pro User respektive pro Device ein???

Wenn ich den Clientlizenzierungsmodus auf Pro Gerät oder pro Benutzer einstelle was für CALs muss ich dann kaufen? Gerät oder Benutzer oder egal. Jedenfalls werden in der Lizenzierung sowieso nur Benutzerzugriffe geloggt. Wenn ich also pro Gerät lizenzieren will, weil ich mehr Benutzer als Geräte hab, gehen mir in der Lizenzverwaltung zwangsweise die Lizenzen aus. Was tun, die "fehlenden" Lizenzen ignorieren? Oder gibt es eine Möglichkeit die Zugriffe auf pro Gerät umzustellen?

der Lizenzprotokollierdienst ist ja beim W2K3 Server standartmäßig deaktiviert. Da frag ich mich aber wie ich das überhaupt meine CAL Verwaltung hinebkommen soll, ohne den Dienst lassen sich keine CALs eintragen. Läuft der Dienst, protokolliert er Replikationsfehler mit andern Servern und dabei wird auch nicht zwischen allen Servern die Lizenzinformation repliziert. Angeblich empfiehlt MS sogar den LLP Dienst nicht zu aktivieren, aber wie gesagt dann ist auch die ganze CAL Verwaltung dahin. Also wie jetzt? Was macht ihr?

Hallo, um die Mechanismen besser zu verstehen wüsste ich gerne was der "Lizenzierungscomputer" den man im AD unter Standorte und Dienste angeben kann eigentlich für eine konkrete Funktion hat. Genauso wüsste ich gerne was es mit den "Serverbrowsern" (Servern bei W2K) auf sich hat. Verwaltung-->Lizenzierung-->Produkte-->WindowsServer-->Eigenschaften bzw. wie diese ermittelt werden (händisch verändert werden können). Danke!

Danke! Das die Erweiterung erst ausgewählt werden muss, scheint mir in die Kategorie "versteckte Dateien nicht anzeigen" und "bekannte Dateierweiterung ausblenden" zu gehören ;-)

Danke für den Tip! Im AD, bzw in den Eigenschaften der Computerobjekte finde ich den Reiter "Objekt" leider nicht. (Neben "Allgmein", "Betriebssystem", "Einwählen", "Mitglied von"....."). Sprechen wir von der gleichen Stelle?

Ja, wo kann man das eigentlich ablesen?

Hallo miteinander, wie und in welcher Reihenfolge sucht ein Terminalserver seinen Lizenzserver? Früher war es ja so das von Haus aus nur auf dem DC gesucht wird, es sei denn man hat in der Registry manipuliert. Wie ist das aktuell? Wo wird nach Lizenzservern gesucht? Auch in übergeordneten Domänen einer Struktur? Wie kann ich einen Lizenzserver so konfigurieren, dass er nur für bestimmte TS Lizenzen austeilt? Danke A.

Also ich kann es jetzt nur vermuten anhand meines Wissens über serverbasierte Profile bzw. Homeverzeichnisse (Basisordner). Dort gilt: der Einstiegsordner wird Freigegeben, die Freigabeberechtigungen müssen jeder Vollzugriff sein. Die Benutzerordner die man am besten vom System anlegen lässt bekommen dann entsprechende Berechtigungen verpasst (ich glaube) der betreffende Benutzer bekommt Vollzugriff bie den Profilen wird er auch noch Besitzer. Also probier folgendes: Weise deinem Testnutzer ein Basisordner (im ADS) zu. Der Pfad dazu muss folgender Maßen ausschauen: \\server\freigabe\%username% Bis zur Freigabe muss du es selbst anlegen, Freigabeberechtigungen jeder vollzugriff. Die Benutzerordner entstehen dann automatisch, die Berechtigungen ebenfalls. In der Richtline Ordner Umleiten Eigene Dateien kannst du dann auswählen in den Basisordner umleiten. Das sollte in jedem Fall klappen, um Berechtigungen brauchst du dich dabei nicht kümmern. Ob der Basisordner richtig gesetzt ist kann du übrigens prüfen in dem du dir den Wert von %Homeshare% anzeigen lässt.

Was sagt die Sicherheitsfilterung im GPMC für die Verknüpfung?

Aha, User ist wirklich eine OU und nicht der Default container Users? Du hast das GPO nur auf die OU User verknüpft? Und der Testuser befindet sich in dieser OU? Verwendest du gpmc?

Weiter vorn hast du geschrieben, dass die Richtline nicht angewendet wir (gpresult) solange das nicht der Fall ist kannst du an den Freigaben schrauben wie du willst, da wird sich nichts tun... Auf welche OU ist die Richtline verknüpft? Sind dort Benutzer oder Computerkonten drin? Hast du schon mal nach der Sicherheitsfilterung geschaut?

Klappt denn nun die Ordnerumleitung? Umgeleitet Ordner werden beim An -Abmelden im übrigen überhaupt nicht syncronisiert.

Beim W2K3 gibt es z.B. keine vorgefertigten Richtlinien außer Defaultxyz... Die zwei Baustellen sind wohl servergespeicherte Profile und Ordnerumleitungen, was machst du nun eigentlich, langsam verlier ich auch den Faden.

mstsc.exe servername oder besser RDP-Datei /console Funktioniert bei W2K Server wie auch beim W2K3 Du musst da aber etwas von der VNC Welt abrücken. Auch wenn du eine RDP-Session mit dem Schalter "console" initialisierst, kann keiner an der physischen Konsole keiner mitlesen. Es gibt nur eine Console, entweder du sitzt echt dran oder du hast sie dir über RDP geholt. Beispiel: An der physischen Konsole ist der Administrator angemeldet. Du verlässt den Platz (angenommen im Serverraum) und gehst in dein Büro. Dort fällt dir dann ein, dass du auf der Maschine noch was zu Ende bringen musst. Du verbindest dich mit mstsc /console als Administrator und bekommst die Session von der echten Konsole aus dem Serverraum auf den Monitor im Büro. Auf dem Monitor im Serveraum erscheint nun die Meldung "Der Computer wird gerade verwendet und ist gesperrt...." Also genau was du willst, oder? Der Remoteverwaltungsmodus reicht dafür vollkommen. Du kannst dir mit dem Konsole Trick auch zwei Administrator RDP-Sessions gleichzeitig von gleichen Client auf den Selben Server aufbauen. mfg

Soll heißen, du hast die Ordnerumleitung in die DefaultDomainPolicy eingetragen? Ich kenne den SBS nicht nur den "echten" möglich das es hier Diskrepanzen gibt... Sicher das die Profile nicht syncronisiert werden? Du erkennst ob es mal geklappt hat, wenn im Profilordner weitere Ordner entstanden sind (Anwendungsdaten ...). Wenn die Richtline verarbeitet wird und beim An-Abmelden keine Fehler kommen, sollte es schon geklappt haben, kontrollier auch einmal die Ereignisprotokollierung (Folder Redirection). gruss

gpresult.exe auf einem Clientcomputer aufrufen. Es werden dann u.a. die angewendeten und abgewiesenen GPO's angezeigt

Nicht kostenlos aber mit nahezu null Aufwand: http://www.igel.de/igel_rubrik/powerslave,id,43,nodeid,43,p,0,_language,de.html

Meines Erachtens nicht unbedingt. Servergespeicherte Profile werden nur beim an/abmelden mit dem lokalen synchronisiert. Wenn der Benutzer angemeldet ist, ist das gesamte Profil lokal kopiert. Gänzlich verschwindet es nur wenn eine Richtlinie die lokale Kopie löscht, das passiert dann beim Abmelden, ist der Nutzer angemeldet ist das Profil aber trotzdem immer lokal auch vorhanden. Wenn die lokalen Kopien gelöscht werden, muss man aber auch aufpassen, denn nicht alle Ordner werden beim Serverprofil gesynct und diese gehen dann beim Abmelden einfach über die Wupper.

Hallo, gpresult zeigt die Richtline also nicht als verarbeitet an , wenn ein "betroffener" Nutzer angemeldet ist? mfg

Eine gute Lösung wüsste ich auch gerne... ...was klappt ist den gesamten Content zu löschen, anschließend ein wsusutil reset und dann kommen nur die aktuell gewünschten Updates wieder rein. Die müssen dafür komplett neu aus dem Internet geladen werden...