IvkovicD

...ich war immer der Meinung, das wer lesen kann, eindeutig im Vorteil wäre/ist.... manches deutet aber nicht darauf hin..... my2cents Dejan

...jetzt seid mal wieder ernst.... sowas auch :D Dejan

hi Frank, ich gehe davon aus, dass dein Kunde eine Domäne am laufen hat, dann hat sich das Thema mit der "time sync" von selbst erledigt, da der W32Time Dienst auf jeder W2K/XP-Pro mit dem DC synchronisiert, sobald der Rechner hochgefahren wird. Gruß Dejan

Hi Sascha, wenn eine seperate Messagebox raufkommt, muss es eine Applikation aufgerufen (generiert) haben, ersetzt mal deine Echos mit "pause" und beobachte, wann es genau erscheint. Was passiert, wenn du das .cmd lokal kopierst und dann startest? Kannst alle Befehle aus dem .CMD (falls möglich) auch manuell ausführen, werden dann diese ausgeführt....? Was hat den der Client nicht/zuviel, was der andere nicht hatzuviel hat (ich weiss, absolut bl. Frage, aber einen Gedanken wert....). Warum führt er das aus? gruß Dejan

hi, in der Default Domain Policy GPO unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Überwachungsrichtlinie die Richtlinie "Anmeldeereignisse überwachen" aktivieren. Ansonsten hier zwei Links, die dir beim suchen helfen werden: http://www.microsoft.com/germany/ms/security/guidance/modules/secmod144.mspx http://support.microsoft.com/default.aspx?scid=kb;de;300958 gruß Dejan

ja, der W2K-DHCP unterstützt das ebenfalls. http://support.microsoft.com/default.aspx?scid=kb;en-us;240247

hi blub, der Abfolge nach sehe ich nur hier einen Unterschied. Muss mir mal morgen das genauer anschauen... gruß Dejan

hallo flex, wenn du eine native AD-Domäne hast, benötigen die DCs nicht mehr den Port 135, im mixed Mode aber schon noch. Ansonsten zwei nette Links, die das ganze gut erklären: http://support.microsoft.com/default.aspx?scid=kb;en-us;179442 http://support.microsoft.com/default.aspx?scid=kb;en-us;832017 gruß Dejan

hi Patrick, ich fange gleich mit einer phrase an: my2cents. back to business: bei deinen diensten, die du oben nennst, fällt mit nur ein dienst auf, der so richtig knackig mit einer (großen) firewall abgesichert werden kann-> der webdienst. die anderen, auch aus gründen der performance, sind packet/statefull inspection klassiker. dafür eine mordsfirewall hinhängen ist kein guter ansatz (ausser für den hersteller, der verdient sich eine goldene nase an euch). ich würde mehrere ansätze verwenden (die meisten wohl schon vorhanden), lokale packetfilter, ssl und IPSec für die client/server kommunikation, obligatorische virus/spam tools, eine kombination aus switch/router mit guten packet/accessfiltern (cisco catalyst) damit hast du einen möglichen engpass schon vorher abgeblockt, geschweige denn von redundanten HP-Firewalls für 250 benutzer...(teuer und vorbeikonzipiert) mehr infos? gruß dejan

hi blub, schau mal diesen schlüssel an: \\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Nls\Language da hast du zwei keys InstallLanguage und noch einen (bin mit meinem simpad unterwegs, der hat das net) dann noch: http://support.microsoft.com/default.aspx?scid=kb;en-us;246664 gruß dejan

hi, ich lese raus, dass der betreffende Benutzer in der Domäne Adminrechte hat, ebenso ein lokaler Benutzer (selber Name) auf der XP Pro. Allerdings greifst du wohl mit dem Domänenbenutzer auf die XP Pro zu, und da hat er eben keine Adminrechte, weil der Domänenbenutzer nicht der lokale Benutzer ist (Namen sind Schall und rauch). Nimm den Domänen-Benutzer (wenn du willst) in die lokale Admingruppe der XP pro auf, dann gehts gruß Dejan

genausowenig, allerdings heist die Datei dann config.pol, nicht NTconfig.pol. gruß Dejan

hi Sascha, hast du schon mal überprüft, wer (auf der NTFS-Ebene) überhaupt berechtigt ist, diese *.cmd auszuführen? Weiterhin prüf mal nach, was die CMDs genau machen, greifen die evtl. auf Daten zu, die in deinem manuellen Share gar nicht existieren? gruß Dejan

anderer Ansatz: 30000 Dokumente sind ne Menge Holz, da lohnt sich doch das drum-herum. Warum liest du die 30000 Dokuemente nicht in eine Accessdatenbank ein (nur die Links/Pfade-Dateinamen, versteht sich), und läßt daraus gesteuert (d.h. mal einen Schwung zum Drucker, und danach warten, bis der Drucker sich wieder meldet) das Drucken ablaufen. Irgendwo in den MSDN hab ich mal ein Konstrukt gesehen, dass genau sowas macht (war ein Mehrzeiler ~ 20 oder so). Vielleicht findest du jemanden, der dir das schnell mal codet für nen Appel (und nen Dutzend Eier :D ) und danach verkaufst du das an weitere Notare und machst Sie alle glücklich (hmmmmm...10% auf mein Konto?) :p ;) :D hab ein wenig gesucht: http://support.microsoft.com/default.aspx?scid=kb;en-us;154569 oder gleich ein kleines Programm aussen rum... http://support.microsoft.com/default.aspx?scid=kb;en-us;178784 my2cents Gruß Dejan

welche ? vom OS oder vom Gebietsschema? gruß Dejan

hi kanal, Konten sperren sich seltenst selber, irgendwas versucht immer vorher mit falschen passwort (etc) unter dem Konto sich irgendwo anzumelden, bis die Domäne den Riegel vorschiebt. Schalte mal ein entsprechendes Audit auf deinen Server ein (in der "Default Domain GPO") welches explizit mitlogged, wenn jemand/etwas Benutzerkonten verwendet (könnte etwas). Das wäre mal ein erster Versuch, das Problem zu kanalisieren (ups :D) Ansonsten wäre es interessant zu wissen, was diese vier 98er machen, bevor sie gesperrt werden (bestimmte Applikation am laufen, Mittagspause (Idlezeit), usw.) gruß Dejan

ein bisschen präziser... wann soll es genau erscheinen, soll der Benutzer eine Taste bestätigen darauf, villst du irgendwas abhängig davon starten? gruß Dejan

damals schon, als es nur NT gab, heute kannst du das Tool auch für W2K-> W2K und weiter rauf benutzen... http://support.microsoft.com/default.aspx?scid=kb;en-us;326480 http://www.microsoft.com/technet/prodtechnol/windows2000serv/downloads/w2kadmt.mspx gruß Dejan

hi DeLiRiUm, 'ver' in der Konsole... gruß Dejan

Hi unowen, NT Computer reagiert gar nicht auf GPOs, da musst du weiterhin die Policies verwenden, die es unter der NT Umgebung gab/gibt (poledit.exe, *.adm Templates, NTConfig.pol, tattoing, etc.) NT Benutzer - du meinst eher Benutzer auf NT Rechner (siehe oben). gruß Dejan

...tststs, ein Schelm wer dabei böses denkt....

nope, nicht so komplex, die Vertrauensstellung erleichert die Benutzerverwaltung über Domänengrenzen hinweg, das bedeutet nicht, dass du extra Benutzer dafür anlegen musst. Du greifst in so einem Fall direkt auf die UserDB der entsprechenden Domäne, um z.B. Zugriffsberechtigungen zu vergeben, den Rest erledigt dein LSA, indem er mit den betreffenden Istanzen verbindung annimmt (auch mit der entprechenden Fremddomäne im endeffekt). Vom Zugriff her ist das System ähnlich, wenn du Unterdomänen hast, und aus diesen Domänen Benutzerkonten benutzt, um Zugriff in deiner Haupt-Domäne zu regeln. Wenn du eine Vertrauensstellung erstellt hast, kannst du auf die Benutzer/gl-Gruppen der anderen Domäne zugreifen, mehr ist das im ersten Schritt nicht. Zur zweiten Frage: Wenn die Verbindung unterbrochen ist, ist die fehlende Authentisierung zur anderen Domäne nicht das Problem, da ja die Verbindung zur Ressource so oder so nicht existiert. In eurem Fall ist das aber auch kein Problem, weil die Authentisierung geschieht immer in eurer Domäne direkt (wo die User sind, die zu authentisieren sind), und das geht unabhängig des DSL-Status. Es fehlen immer nur die Dienste, die durch die Netzwerktrennung verursacht werden (hier: Zugriff Exchange) gruß Dejan

hallo Gerold, nicht das ganze unter einander verwechseln, die andere Domäne speichert nicht deine Passwörter ab. Wenn du das ganze transparent gestalten willst, dann beginnst du damit, 1. eine Vertrauenstellung zwischen beiden Domänen einzurichten (es reicht, wenn die andere Domäne deiner Domäne vertraut) 2. verändere die Mailboxrechte der Zielmailbox in der anderen Domäne so (muss der andere Admin machen), dass der Benutzer aus deiner Domäne die "vollen Mailboxrechte und lesen" hat (Active Directory Benutzer and Computer - > Eingenschaften -> Exchange erweitert -> ganz unten). 3. Konfiguriere deinen Outlookclienten so, dass er auf die andere Mailbox über \\Exchangeserver\Alias(Mailbox) zugreift. das wars, du wirst nicht nach einem Passwort gefragt, da sich der Outlookclient automatisch (und jedesmal neu) mit dem Benutzer (Zugangsdaten!) aus deiner Domäne in der anderen Domäne meldet, und dort die Zugriffsrechte auf die Mailbox hat. Die Vertrauensstellung verbindet somit die beiden Domänen, damit du eben nicht mehr sowas in Zukunft machen musst. gruß Dejan

Hi phunez, hast du EFS benutzt? gruß Dejan

Bitte vormachen... Ich zweifle irgendwie an diesen Lösungen. Das wäre, falls möglich, eine schicke Möglichkeit, sich mal schnell einen Account zu schnappen. Egal für wie doof man Microsoft hält, so billig ist das unter W2K3-DC/ADnicht zu machen - das ist nicht drin. Ich habe einen Windows 2003 Server (AD ist aufgesetzt) in einer VMWare laufen, und habe beide Lösungen mal versucht, und es ist das rausgekommen, was ich vermutet habe: zu 1.: das Anmelden wird über den Administrator in der SAM übernommen (ich habe verschiedene Passwörter für beide Adminkonten benutzt, so dass ich den Unterschied definitiv merke; die Anmeldung geht nur über den lokalen SAM-Admin); der hat nichts mit dem Domänenadmin zu tun. Somit scheidet das mal aus. Auch ist in diesem Fall die AD nicht aktiv, damit ist auch der Zugriff auf die AD-Konten nicht möglich....Der Server macht einen auch aufmerksam, dass der Zugriff nicht funktionieren wird!!! zu 2.: geht auch nicht; ein Zugriff auf die Passwörter wird bei meinem Server mit "access-denied" quittiert (unabhängig welches Konto versucht wird). Auch das reaktivieren eines gesperrten Kontos ist nicht möglich. Wie soll es auch gehen, es hat sich kein Benutzer angemeldet. Das cmd.exe läuft wohl unter "Systemrecht", und nicht unter "Adminrecht". ....also bei mir zeigt der W2K3-Server genau das, was ich erwarte: sicheres Verhalten gegenüber so profanen Hackattacken. Hat jemand andere Erfahrungsberichte? Bin gern bereit dazu zu lernen.... BTW an StrikeCommander: Hast du damit echt dein gesperrtes Domänen-Admin-Konto reaktiviert? gruß Dejan