Velius

Weiss ned, ist aber gut möglich.

Versuch doch die Event Logs des Servers zu checken oder den IAS zu reinstallieren.

@master-obi-wan

Ich zeige gerne den Weg zum Ziel, erreichen und umsetzen muss man das schon selber. In den GPO's gibt's eine ganzes Arsenal an Einstelleungen, die bei richtigem Einsatz das Leben eines lokalen Admins ziemlich zu Hölle machen können.

Siehe auch: Group Policy Registry Table - Administrative Vorlagen

...oder anders formuliert: Ich helfe gerne, zeige aber ungerne jeden einzelnen Klick zur Lösung. Ich denke das kann weder im Sinn des Boards, noch desjeneigen der die Lösung sucht sein.

Hast du da nachgekuckt?

cmd -> %windir%\system32\LogFiles -> "Enter"

Hallo,

 

 

Nebenbei bemerkt ... wenn du nur die bereits von dir aufgeführten Policies vergibst, dauert es keine 5 Minuten, bis ein lokaler Admin wieder Zugriff auf die Registry hat. Da musst du schon ein paar Scheiter mehr ins Feuer werfen ... aber das nur nebenbei ...

 

Das war mir schon klar, aber ich überlasse das denken gerne dir! ;)

P.S.: Ich versuche einfach so nahe wie möglich an das Problem des TO heran zu gehen. Weiss der Geier welche Gründe es gibt, wieso er das und jenes machen will. Aus eigener Erfahrung weiss ich, dass es nicht immer möglich ist, den logischen weg zu gehen, da noch Management und Kohle und noch etwa 12'000 andere Gründe dahinter stecken.

Ich versuche zu helfen so gut es geht; mag sein, dass du die Lösung nicht schlau findest, ich hinterfrage die Absicht aber nicht....

Du musst dafür schon das erweiterte Log auf dem IAS einschalten.

Remote Access Logging -> local File -> die entsprechenden Optionen setzen.

Hier findest du noch die Interpretation des Logfiles:

Interpreting IAS-formatted log files

Gruss

Velius

Hi

Hast du den IAS, Rechtsklick auf den Stamm, "Register Server in Active Directory" ausgeführt?

Gruss

Velius

@s.weinschenck

Ich kann's nicht lassen, aber woher willst du wissen, dass es keine Viren drauf hast, wenn du noch keinen andern ausprobiert hast?? :suspect: :rolleyes:

Ich denke, der TO wollte die Erfahrungen zu NOD32 oder Kapersky wissen.... :rolleyes: :rolleyes:

Ne echt, solche "ich finden den gut" Antiviren Threads haben wir doch schon Tonnenweise, nicht?

@Mensch

NOD32 ist mein Persöhnlicher Favorit, nur mit Kapersky habe ich null Ahnung. Bei uns läuft NOD32 auch auf dem Exchange und macht null mucken. Bei allen Virenscannern die bis jetzt gesehen habe konnte ich noch nie eine so niedrige Ressourcen Last und eine so hohe Ekennungsrate feststellen. Und ich habe einige gesehen.

Allerdings ist das nur meine Meinung zu einem deiner genannten Produkte, und nicht der Weisheits letzer Schluss!

Gruss

Velius

@lefg

Wollte auch nicht den Lehrmeister raushängen :p

Aber schön das man helfen kann.

Gruss

Velius

@lefg

Nicht ganz ;)

Es ist theoretisch und auch praktisch möglich, eine einzige OU zu machen, welche verschiedene Policies hat, die aber durch Filterung auf verschiedene Gruppen wirken. Man kann zum Beispiel eine Policiy "Human Resources" machen, und nur der gleichnamigen Gruppe das Recht "Richtlinie übernehmen" geben.

Ebenso das selbe mit den Computern, welche auch mitglieder der Gruppe sein können.

@TomDooley

Idealerweise hat man beides: Eine Gruppe und eine OU. Die OU wird dann verwendet, um die Objekte zu Organisieren und zu Verwalten.

Die Gruppe wird verwendet, um den Mitgleidern zugriff auf Ressourcen zu gestatten, typischerweise Fileservices.

Na, alles klar? :)

Grüsse

Velius

P.S.: Des stimmt schon: Der Umkehrschluss, dass man über OU's Fileservices steuern kann (NTFS Berechtigungen) geht nicht!

@master-obi-wan

Siehe meinen Post! ;)

Auch wenn der User Admin ist, kann er diese, sowie andere Einstellungen wie das Deaktivieren der "Ausführen" Schaltfläche nicht mehr umgehen, sobald diese Policies aktiv sind.

Alles was er dagegen tun kann ist den Rechner von der Domäne zu nehmen....aber sogar das kann man unterbinden.

Gruss

Velius

Versuch mal eine GPO:

Benutzerkonfiguration/Administrative Vorlagen/System/Zugriff auf Programme zum Bearbeiten der Registrierung verhindern

Erklärung

Deaktiviert den Windows-Registrierungs-Editor "Regedit.exe".

 

Durch Aktivieren dieser Einstellung wird dem Benutzer bei dem Versuch einen Registrierungs-Editor zu starten eine Fehlermeldung angezeigt, die erläutert, dass der Vorgang aufgrund einer Einstellung nicht gestattet ist.

 

Verwenden Sie die Einstellung "Nur zugelassene Windows-Anwendungen ausführen", um Benutzer daran zu hindern weitere Verwaltungsprogramme zu verwenden.

Gruss

Velius

Hi

Der Hauptunteschied sind IMHO aber die Group Policies. OU's sind das Hauptinstrument um Group Policies auf die Objekte im AD anzuwenden. Es ist zwar auch möglich, die Anwendung der Group Policies durch Gruppen zu steuern, sollte jedoch aus Gründen der Übersichtlichkeit mit bedacht eingesetzt werden.

Kurz gesagt: OU's dienen der Übersicht wenn es um die vergabe von Policies geht.

Gruss

Velius

Schon ok....

So war es auch wieder nicht zu verstehen ;)

Nur weiter so!

Krass Alter, einfach krass.....

Der ist ja voll der rul0r :D :D

Solche Geschichten sind doch einfach göttlich :jau:

Bin ich jetzt doof, oder wurde eine entsprechendes Tool dazu schon bereits gepostet in diese Thread.... :suspect:

Kleiner Tipp an dieser Stelle:

Roaming Profiles arbeitet weder mit einer typischen Synchronisation, noch mit purem Kopiren. Im Prinzip ist es eine Art pseudo Synchronisation, einfach ohne die Information, das was gelöscht wurde. Der Grund ist einfach: Wenn man sich simultan an einer anderen Maschine angemeldet hat, dort aber etwas erstellt und sich anschliessend gleich ausloggt, dann wird das auf dem Server Profilpfad geupdatet. Wenn man sich nun aber auf der anderen WS ausloggt müsste der Logik nach der Inhalt von vorhin auf dem Server überschrieben werden. Das ist nicht der Fall: Der Inhalt wird sozusagen addiert.

Siehe auch hier: http://support.microsoft.com/default.aspx?scid=kb;de;814923

STATUS

This behavior is by design. Microsoft considers the current behavior in Windows NT 4.0 to be safer and does not plan to change it.

Das verhalten gilt auch für > NT 4.0. Der Punkt ist, dass so verhindert wird, dass vom User unbeabsichtigt Daten gelöscht werden. Leider ist aber auch die User Registry ein Teil davon, und das führt eben zu solch "bizzaren" Effekten. Das ist aber designbedingt, und eine "echte" Synchronisation, also wo ein Eintrag als gelöscht markiert wird, ist so nicht möglich denke ich, jedenfalls nicht mit einer NTFS Ordner Replikation mit mehreren Zielen/Quellen.

Da stösst aber jedes Replikations Verfahren an seine Grenzen.

Nun, die Lösunge könnte so aussehen, dass du das lokale Cachen der Profile auf den Desktops abschaltest. Die Notebooks solltes du aber so belassen, da sich die User dann offline, ohne Domäne, nicht mehr anmelden können.

KB274152: Using Group Policy to Delete Cached Copies of Roaming Profiles

KB173870: How to Automatically Delete Locally Cached Profiles

Gruss

Velius

*kopschüttel*

 

was nützt mir multiboot, wenn ich dann dos installieren und habe keine com?!

Also um es auf den Punkt zu bringen, das Problem ist nicht DOS oder Windows sondern der fehlende serielle Anschluss. Ganz einfach: Kauf dir Notenbook mit seriellen Anschlüssen, oder gleich PC's....

Wieso denn Notebooks eigentlich????

Gruss

Velius

P.S.:

...., und wenn dann sind sie meinen chef zu teuer... halt sparen wo es geht.

Ist doch das Problem deines Chefs, oder?

Dort den User auswählen >Auf Exchange Erweiter gehen >Postfachberechtigung auswählen> und dort dann Vollständiger Postfachzugriff auswählen den ganzen Posteingang freigeben....

 

gruß

Homeuser

Wenn du das so machts, dann hat der User aber wirklich "Vollzugriff" auf die ganze Mailbox des Users. Ich weiss nicht, ob das so gedacht ist beim TO....

@GuentherH

Hmmm? Das geht schon, nur gibt es an dieser Stelle exact einen Hacken: Full Mailbox access......

Der Name sagt ja alles.

Gruss

Velius

@Fleescher

So'n Tool gibt es schlicht weg nicht, da viele Firmen selbst nicht wissen, wie das Konkurenz Produkt die Sache angeht. Teilweise werden da auch ganz abenteurliche Wege und Lösungen gefunden. Wenn beispielsweise die Programmiere solcher Lösungen viel einheitlicher arbeiten würden wären wohl viele Stellen bedroht. Klingt ironisch, ist aber die Wahrheit.

Wenn du eine auf ein funktionierendes System zurück greiffen willst, musst du schon auf Backup/Image Lösungen setzen und dir vor einer änderung des Systems eine Sicherung anlegen.

Gruss

Velius

P.S.: "win-Koriositäten" gibt es nicht. Es gibt Funktionen und Bugs, und dazwischen gibt es noch das Unwissen des Anwenders/des Implementierenden....

Sehr hilfreich und informativ der Komentar :rolleyes:

Ist wohl eher was für OT, nicht?

Hi und willkommen im Board! :)

Die Ursachen sind verschieden, leider. Im folgenden Artikel müssten die Geläufigsten aber drin stehen.

SO WIRD'S GEMACHT: Problembehandlung bei Fragmentierung des virtuellen Speichers in Exchange 2003 und Exchange 2000

Gruss

Velius

Hi

Na, gut geschlafen? :p

Zu deiner Frage:

Backup

 

System state data is comprised of the following files:

 

* Boot files, including the system files, and all files protected by Windows File Protection (WFP).

* Active Directory (on a domain controller only).

* Sysvol (on a domain controller only).

* Certificate Services (on certification authority only).

* Cluster database (on a cluster node only).

* The registry.

* Performance counter configuration information.

* Component Services Class registration database.

Gruss

Velius

Schon wieder zu spät...*mist* :( :)

Das geht aber nur auf dem Server, wo der Drucker/die Freigabe existiert. Bei den Freigegebnen Ordnern kannst du dir auch ein Snap-In für alle Fileserver zusammen bauen, damit es Zentral verwaltbar ist.

Bei einem Printsever kannst du auch per RDP drauf, und die Druckerberechtigungen so steuern.

Gruss

Velius